•
액세스 토큰(Access Token): 사용자가 서버에 요청을 보낼 때 이 토큰을 함께 보내서 자신이 누구인지 식별하고, 어떤 권한을 가지고 있는지 알려줍니다. 액세스 토큰은 일반적으로 짧은 생명 주기를 가지며, 만료되면 더 이상 유효하지 않게 됩니다.
•
리프레시 토큰(Refresh Token): 액세스 토큰이 만료되었을 때 새로운 액세스 토큰을 발급받기 위해 사용됩니다. 리프레시 토큰은 일반적으로 액세스 토큰보다 긴 생명 주기를 가지며, 사용자가 로그인 상태를 유지할 수 있도록 해줍니다.
이 두 토큰을 사용함으로써, 사용자는 자신의 암호를 다시 입력하지 않고도 안전하게 애플리케이션을 계속 사용할 수 있습니다. 또한, 액세스 토큰이 탈취당하더라도 그 토큰의 생명 주기가 짧기 때문에 공격자가 오랫동안 시스템을 악용하는 것을 방지할 수 있습니다.
토큰이 탈취당하면 누구나 header, payload의 정보 확인 가능
그러므로 토큰에는 민감정보(사용자의 암호, 신용카드 번호, 주민등록번호 등의 개인 식별 정보) x
액세스토큰 유지시간 10분 만료되면
→ 리프레쉬 유지시간 60분,
→리프레쉬 서버로 보냄, 리프레쉬 토큰 유효하면 액세스토큰 발급
